共查询到10条相似文献,搜索用时 15 毫秒
1.
作为计算机犯罪侦查中重要的证据与线索来源,用户行为信息在揭示犯罪分子操作细节方面发挥着重要作用。以往关于此方面的研究主要集中于Prefetch文件夹、Rencent文件夹以及注册表等方面。针对Windows 7新增功能——跳转列表进行研究,剖析其内部结构,从电子数据取证角度归纳总结用户操作对其产生的影响。实践证明,上述方法准确高效。 相似文献
2.
传统电子数据取证技术难以还原数据文件中被修改过内容的本来面目。Windows操作系统中内置的"系统还原"功能则提供了揭示文件背后所隐藏秘密的新途径。相较Windows XP,Windows 7"系统还原"功能更为全面深入,并采用了全新的文件结构。基于电子数据取证视角,说明Windows 7"系统还原"功能,着重分析该功能所涉及的具体文件(夹)的结构格式,结合实例阐述其在电子数据取证实践中的具体应用。 相似文献
3.
Vista操作系统对计算机取证的影响 总被引:2,自引:2,他引:0
Windows Vista操作系统自2007年上市以来,开始占据市场,该系统在技术上的更新和变化对于计算机取证有较大影响。本文介绍了Vista系统若干重要技术,且以BitLocker位加密技术为主导,探讨了它们对于计算机取证的具体影响,以及相应的应对策略,突出传承与改变,旨在为进一步的Vista取证实施与研究打下基础。 相似文献
4.
首先对近几年来windows RootKit检测技术的发展和研究进行了描述,接着对当前常用的RootKit检测工具及其检测方法做以介绍,进而探讨了Windows RootKit的取证与分析方法,以期对当前计算机取证人员有效解决Windows RootKit检测和取证提供一些借鉴。 相似文献
5.
讨论了IE浏览器取证相关的知识,对IE浏览器中保存Web访问记录的ESE数据库文件进行了介绍,并分别以IE6、IE8和IE10为例分析了其ESE数据库文件在Windows系统中的存储位置和方式。重点对Index.dat和Webcachev01.dat两种ESE文件进行了结构解析,并以取证实战为目的,具体分析了IE浏览器取证中的二进制分析法,同时介绍了工具取证法。 相似文献
6.
TOR是全球应用最广泛的公共匿名通信服务系统,可有效隐藏消息发送者、接收者和两者关联性,并具有延时低、稳定性好等特点,还可抵抗局部流量分析。TOR为了对抗取证分析,对使用痕迹也进行了清理和保护,但并不彻底。针对三种主流操作系统,即OS X、Debian 6.0和Windows 7搭建了虚拟环境,将使用TOR浏览器套件前后的操作系统分别做镜像并进行取证分析,通过md5值和hash值校验、关键字搜索、进程分析等方法来挖掘TOR的使用痕迹,共计发现20处残留信息,对电子取证工作有重要的参考意义。文章最后提出了规避信息泄露的简单方法。 相似文献
7.
通过描述Windows中与栈及堆密切相关的系统结构,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法.实例分析部分,则以目前广泛使用的Windows操作系统为应用背景,说明了所述方法的具体应用. 相似文献
8.
9.
10.
预读取,是Windows用来提高操作系统和应用程序启动性能的一项重要机制。Windows通过Prefetch文件在系统和应用程序启动前将所需的文件提前缓存到内存中,从而实现这一机制,因此Prefetch文件中记录了大量有关应用程序运行的痕迹,这些痕迹便是宝贵的电子数据证据。相较于其它版本的Prefetch文件,Windows10中Prefetch文件的结构和功能发生了较大的变化,但是其相关的研究和解析工作相对较少。主要针对Windows10中Prefetch文件的结构和功能进行分析,并进一步阐述Prefetch文件在电子数据取证中的重要作用。 相似文献